제공 서비스
웹 보안 점검 소스코드 분석 (SAST) CRM 보안 진단 다크웹 유출 조회
요금제 스토어 블로그 파트너 마이페이지 무료 보안 점검
보안 2026.04.27 · 조회 375

AI로 만든 1인 SaaS, 출시 전 30분 보안 자가진단 — Mithos 시대 8가지 체크리스트

Mithos가 보안업체에만 풀린 사이, AI 코딩으로 만든 1인 SaaS가 가장 먼저 뚫린다. Supabase RLS · 결제 검증 · 개인정보 동의 등 출시 전 반드시 확인할 8가지를 정리했다.

Mithos가 보안업체에만 풀렸다는 게 무슨 뜻인가

Mithos는 자율 모의해킹 에이전트다. URL을 던지면 알아서 정찰하고, 취약점을 찾고, 공격 시나리오를 재현한다. 공급사는 일반 사용자에게 풀지 않고 보안 인증을 받은 회사에만 제한적으로 공급했다.

겉으로는 사고를 막기 위한 합리적 결정이지만, 결과적으로는 방어할 사람만 강해지고 공격자는 그대로인 비대칭이 만들어진 게 아니다. 진짜 격차는 다른 곳에서 벌어진다.

실제 위협 모델: 공격자는 이미 LLM 기반 자동 정찰 스크립트를 쓰고 있다. 방어 측 보안팀은 Mithos 같은 도구를 받지만, AI 코딩으로 1인 SaaS를 만든 개발자는 "내 사이트는 너무 작아서 괜찮겠지"라는 가정 아래 점검 자체를 안 한다. 격차는 이 지점이다.

왜 AI 코딩으로 만든 사이트가 먼저 뚫리는가

AI 코딩 도구는 빠르게 동작하는 코드를 만든다. 문제는 "동작하는 것"과 "안전한 것"은 다른 차원이라는 점이다. LLM은 학습 데이터에서 자주 본 패턴을 그대로 복사하는 경향이 있다. 그 패턴 중 상당수는 2018년 ~ 2022년 튜토리얼 코드에 기반하고, 당시 권장되던 보안 설정이 지금은 부족하다.

실제 점검 시 가장 자주 발견되는 패턴은 다음과 같다.

  • Supabase anon key를 프론트 번들에 그대로 노출 (RLS 미설정 시 DB 전체 조회 가능)
  • 결제 완료를 클라이언트 콜백으로만 판단 (서버 검증 누락 → 결제 위변조)
  • 관리자 페이지를 /admin 같은 추측 가능 경로에 그대로 노출
  • 개인정보 처리방침이 빈 페이지이거나, 수집 항목과 보유 기간이 불일치
  • 사용자 입력을 그대로 SQL 또는 OS 명령에 합쳐 실행 (인젝션)

출시 전 30분, 직접 확인할 수 있는 8가지 체크리스트

설치 없이 브라우저만으로 점검 가능한 항목 위주로 정리했다. 각 항목 옆 "확인 방법"은 사용자가 직접 따라할 수 있는 절차다.

1. Supabase / Firebase 키 노출

확인: 사이트 메인 페이지 우클릭 → "페이지 소스 보기" → anon, apikey, SUPABASE_ 검색. 키가 보이면 RLS(Row Level Security)가 설정돼 있는지 별도 확인. RLS 없이 키만 노출되면 누구나 DB 전체 조회 가능하다.

2. 인증/세션 쿠키 보안 속성

확인: 로그인 후 개발자도구 → Application → Cookies → 세션 쿠키. HttpOnly, Secure, SameSite=Lax 또는 Strict 모두 체크돼 있는지 본다. 하나라도 빠지면 XSS 또는 CSRF로 탈취 가능.

3. 보안 헤더

확인: 개발자도구 → Network → 메인 문서 응답 헤더. Content-Security-Policy, X-Frame-Options, Strict-Transport-Security, X-Content-Type-Options 4종 모두 있어야 한다.

4. 관리자 경로

확인: /admin, /dashboard, /manage, /lyh0202/ 같은 경로에 직접 접근. 200으로 응답하면서 로그인 화면이 노출되는 것도 위험. IP 제한 또는 별도 도메인 분리가 권장된다.

5. 결제 서버 검증

확인: 결제 완료 후 네트워크 탭에서 서버로 가는 검증 요청을 본다. PortOne / 토스 / 카카오 SDK는 클라이언트 콜백만으로 끝나면 안 된다. 서버에서 결제사 API에 다시 조회해 금액·상태를 확인해야 안전하다.

6. 개인정보 처리방침

확인: 사이트 푸터 → 개인정보 처리방침. 다음 6개 섹션이 모두 있어야 한다.

  • 수집하는 항목 (이메일·전화·결제정보 등 구체적으로)
  • 수집 목적
  • 보유 기간
  • 제3자 제공 (없으면 "없음" 명시)
  • 처리 위탁 (결제사·SMS 발송사 등)
  • 이용자 권리 (열람·삭제 요청 방법)

섹션이 비어 있거나 템플릿 그대로라면 개인정보보호법 위반 소지가 있다.

7. 다크웹 유출 자가 조회

확인: 사용 중인 이메일/관리자 계정이 과거 사고로 유출된 적 있는지 확인. 유출된 계정을 그대로 운영에 쓰는 1인 SaaS가 의외로 많다. 같은 비밀번호 재사용 시 즉시 위험.

8. SSL 인증서 만료일

확인: 주소창 자물쇠 아이콘 → 인증서 정보 → 만료일. 30일 이내 만료되면 자동 갱신이 동작하는지 별도 점검. SSL 만료는 사이트 다운과 사실상 같은 효과를 낸다.

여기까지가 사람이 직접 점검 가능한 한계

위 8가지는 사람이 30분이면 점검 가능하지만, AI 코딩으로 빠르게 만든 사이트는 점검할 항목이 곧 21개를 넘어간다. CORS 정책, 서브도메인 노출, 시크릿 코드 누설, 타이포스쿼팅 도메인, CT 로그 노출 자산 등은 사람이 일일이 보기 어렵다.

이 격차를 메우는 것이 자동화된 보안 점검 도구다. 공격자는 자동화로 무장했고, 방어자가 사람의 30분에 머무는 한 격차는 줄지 않는다.

지금 무료로 21개 항목 자동 점검

CodeScan은 URL 한 줄을 입력하면 30초 안에 21개 보안 항목을 동시에 점검하고 A~F 등급으로 결과를 알려준다. 가입도 카드 등록도 필요 없다. 위 8가지 체크리스트가 다 통과한다 해도, 자동화 도구가 잡는 항목은 그 이상이다.

지금 무료로 내 사이트 점검 시작 →

무료 점검은 월 3회까지 · 가입 불필요 · 30초 안에 결과 확인

AI 코딩 보안 1인 SaaS Supabase RLS 보안 체크리스트 Mithos

내 사이트도 점검해보세요

CodeScan으로 보안 취약점을 무료로 점검할 수 있습니다.

무료 스캔 시작하기 →
🛒
추천 상품
웹서비스 런칭 전 보안 세팅
런칭 전에 반드시 해야 하는 보안 설정을 원격으로 직접 해드립니다. HTTPS, 환경변수 분리, 보안 헤더…
220,000원 150,000원

🔒 바이브코딩 보안 체크리스트 받기

바이브코딩 보안 체크리스트(PDF)를 무료로 받아보세요.

관련 글

AI 코딩 보안

AI 코딩으로 만든 SaaS, 흔히 새는 보안 취약점 7가지 [2026]

2026.5.14 AI 코딩 보안

Mass Assignment 취약점 — AI 코딩 CRUD가 만든 관리자 권한 상승 [2026]

2026.5.12 AI 코딩 보안

AI 코딩으로 만든 웹서비스, API 키부터 새고 있습니다 [2026]

2026.5.11 AI 코딩 보안

npm 공급망 공격 시즌2 — Axios·SAP 사고로 본 7천만 다운로드 패키지의 함정 [2026]

2026.5.9 AI 코딩 보안

AI 코딩 도구 권한 우회 모드, PreToolUse 훅으로 운영 사고 막는 법

2026.5.7